Return on relationships for CISO

Не так давно увидел новое для себя понятие ROR (return on relationships) по аналогии с ROI (return on investments). Все мы используем данный термин осознано или нет, строя формальные и не формальные отношения, как на работе, так и в других аспектах жизни.
Давайте рассмотрим, с кем же CISO стоит строить отношения в компании в первую очередь, для каких целей и как это лучше всего сделать?
С формальными отношениями все отчасти регламентируется инструкциями, политиками и правилами, а то, что касается неформальных взаимоотношений - стоит особого внимания, и требует приложить максимум усилий, что бы добиться поддержки (идеальный случай), понимания или на худой конец непредвзятости руководителей, а потом и сотрудников подразделений.
Ну что же, давайте вкратце рассмотрим, с кем руководитель информационной безопасности зачастую строит формальные и не формальные отношения в новой компании.
Непосредственный руководитель. Само собой разумеется, что для плодотворной работы коммуникация с таким человеком должна быть отменной. Понимания (хотя бы частично) его истинных целей в компании, чем можно быть ему полезным, а главное как. В какой форме предоставлять ему информацию более удобно, какие цели действительно первоочередные, по его мнению (в отличие от декларируемых целей). Хорошо бы составить его психологический портрет, и собрать мнения и отзывы от коллег. Все это вам понадобится, для того что бы понимать, как стоить свою игру. Если это группа людей все заметно усложняется.


Руководитель ИТ. Человек, с которым коммуникация будет более плотная, чем с коллегами из физической безопасности. Рекомендую применить все умения и навыки, дабы добиться его расположения на столько, на сколько, это в принципе возможно. Не думайте, что он вам будет рад – особенно если раньше информационной безопасности не было, и нет возможности сыграть на том, что будет лучше, чем было (вы действительно думаете, что с вашим появлением ему будет проще работать?). От того как вы наладите контакт будет зависеть не только скорость и полнота выполнения задач, но и успех всех ИТ проектов так или иначе связанных с безопасностью. Спектр вашего взаимодействия будет необычайно широк – от банальной заявки на технику, до утверждения приоритетов для выполнения ваших проектов перед проектами бизнеса. Руководитель информационной безопасности может сильно усложнить жизнь руководителю ИТ, но руководитель ИТ может сделать вам жизнь поистине невыносимой. Так как он обеспечивает функционирование бизнес процессов, которые зарабатывают деньги, а вы - нет. Без требований безопасности бизнес все равно будет зарабатывать деньги, при не работающей инфраструктуре ИТ, в нынешнем мире бизнес невозможен.
Руководитель физической безопасности. Это человек, с которым вам придется часто пересекаться по работе в рамках расследований, получения информации, проверок и пр. Постройте с ним нормальные человеческие отношения. Сыграйте на его чувстве собственной важности, как правило, это бывшие сотрудники служб безопасности государственных структур, которые плохо разбираются в новых технологиях и считают их детскими развлечениями по сравнению с «дедовскими приемами». У этих людей может быть очень разносторонний опыт, а если это бывшие командиры специальных подразделений, то еще и хорошо тренированные мозги. У них есть хорошие связи и поверьте, они не раз будут вам полезны. Постарайтесь быть полезными ми, но не стоит к ним ходить за советами и на кофе как в HR.
Руководитель риск подразделения. Это человек, у которого можно получить свежую информацию по интересующим Вас вопросам (если риски в компании действительно пересчитывают, используя актуальные данные). Направление движения компании, планы и перспективы развития. Как правило, получить такую информацию можно только посредством личного общения. По официальному запросу можно получить выдержки из давно не актуальных отчетов. Имея такую информацию можно значительно более точно планировать развитие собственного подразделения. Да и просто имея такую информацию можно стать полезным человеком для других, а значит, получив более лояльных к Вам коллег.
Руководитель аудита. Человек, который, как и предыдущий руководитель обладает большим количеством актуальной информации. Так же не стоит забывать, что результаты аудита можно преподнести с разных сторон. Это тонкий момент, но в рамках аудита скорее стоит показывать недочеты безопасности, чем скрывать их. Это позволит указать еще раз, на важность задач безопасности, опершись на результаты аудита, и напомнить о расширении бюджета и функций подразделения. Сотрудничество – оно всегда полезно.
Руководитель проектного офиса (если применимо). Человек, который кроме контроля за портфелем проектов еще и распределяет ресурсы на проекты (или, по крайней мере, их согласовывает). Что может быть полезнее, чем получить нужных специалистов именно на Ваш проект? Добиться повышения приоритета проекта. Ведь всегда не хватает ресурсов, на все проекты.
Руководитель карточных процессов (если применимо). Если такой отдел есть, значит, есть задачи с обеспечением безопасности платежей и карт. Это отдельная кухня и рано или поздно она обязательно коснется информационной безопасности. В рамках подготовки к аудитам платежных систем или обеспечения защиты информации.
Сотрудники отдела по работе с персоналом. Как правило, замечательные люди (или играющие таковых), у которых можно угоститься чем-то вкусненьким, а помимо того узнать кто и как долго работает, особенности, отзывы и прочую информацию, об интересующих лицах. А если повезет, то и мотивацию того или иного сотрудника, особенности взаимоотношений и подводные течения в коллективе (лучше в рамках корпоративной пьянки – по научному «тимбилдинг»). Так же не стоит пренебрегать возможностью привлечь HR для консультаций ваших подчиненных. Ведь люди с психологическим образованием и опытом могут помочь вовремя выявить те проблемы в коллективе, которые могут пропустить ваши замыленные глаза (но это касается действительно классных специалистов, а не девочек которые только перекладывают бумажки и обзванивают всех подряд для создания объема работ). Будут полезны так же сотрудники данного подразделения и в тот момент, когда нужно будет провести обучение безопасности в компании, утвердить документы, ну и конечно в процессах найма и увольнения сотрудников.
Секретари всех выше перечисленных лиц. Не стоит недооценивать их роль. «Пусть мал карасик, да вкусен». То, что вы оставляете передать руководителю, может быть передано, а может быть «забыто». О звонке сообщено или нет. Для кого-то руководитель есть, а для кого-то занят. Не грубите им, улыбайтесь, делайте комплименты, поздравляйте с днем рождения. Все это, конечно же, применимо и непосредственно для лиц перечисленных выше.
А напоследок хотелось бы упомянуть еще про один интересный показатель - EQ (коэффициент эмоционального интеллекта) по аналогии с IQ, который тоже будет интересен для анализа, но уже самостоятельного.  


Перейти к оригиналу блога с самыми свежими публикациями.

Оставьте вашу заявку и мы свяжемся с вами*

*Мы не предоставляем услуги рф и рб
Оставить заявку